CSR-Erstellung Tomcat
Auf dieser Seite wird erklärt, wie Sie eine Zertifikatsregristrierungsanforderung (Certificate Signing Request - CSR) mit keytool auf einem Tomcat Server erstellen können. Im CSR wird ihr öffentlicher Schlüssel (Public Key - PK) angegeben sowie weitere Informationen für das jeweilige Zertifikat, insbesondere der zu verwendene Domain-Name als Common Name (CN) sowie die Kontaktdaten des Antragstellers. Mit diesen Daten aus dem CSR kann Ihnen nach Prüfung und Genehmigung die Zertifizierungsstelle (Certificate Authority - CA) das Zertifikat ausstellen.
Dateiformat Certificate Signing Request (.csr)
Erstellung Private Key (PK)
- Öffnen Sie eine Terminal-Verbindung zu Ihrem Tomcat-Server und melden Sie sich dort an.
- Geben Sie folgenden Befehl ein:<source lang=xml enclose="div">keytool -genkey -alias server -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore private.jks</source>
- Es erscheint folgende Ausgabe: <source lang=xml enclose="div">Geben Sie das Keystore-Passwort ein:</source>
- Geben Sie ein Passwort ein und heben Sie dieses sicher auf. Es wird später noch benötigt. Das Passwort wird während der Eingabe nicht angezeigt. <source lang=xml enclose="div">Geben Sie das Keystore-Passwort ein: IhrKeystorePasswort</source>
- Bestätigen Sie Ihr Passwort erneut. Das Passwort wird während der Eingabe nicht angezeigt. <source lang=xml enclose="div">Geben Sie das Passwort erneut ein: IhrKeystorePasswort</source>
- Ihr Private Key ist nun erstellt und wurde in der Datei private.jks im selben Verzeichnis gespeichert. Heben Sie diese Datei gut auf und veröffentlichen diese keinesfalls im Internet!
Erstellung Certificate Signing Request (CSR)
Verwenden sie bei den folgenden Eingaben bitte keine Umlaute oder Sonderzeichen und achten Sie auf Groß- und Kleinschreibung. Die Angaben erzeugen den Zertifkatsnamen und stellen den Distinguished Name (DN) als eindeutigen Objektnamen in LDAP-Verzeichnissen da. Nicht alle Zertifizierungsstellen können dabei Umlaute oder Sonderzeichen interpretieren. Wandeln Sie daher um von ä in ae, ö in oe, ß in ss, etc.
Erlaubte Zeichen sind:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9 ( ) : . - , Leerzeichen
- Nach Erstellung des Private Key und Eingabe eines Keystore-Passwortes erscheint folgende Frage: <source lang=xml enclose="div">Wie lautet Ihr Vor- und Nachname?</source>
- Geben Sie bitte dabei nun Ihren zu sicherenden Domain-Namen an statt Vor- und Zuname, z.B. icertificate.eu. Bei einem Wildcard-Zertifikat bitte ein Sternchen voransetzen, z.B. *.icertificate.eu <source lang=xml enclose="div">Wie lautet Ihr Vor- und Nachname?
[Unknown]: icertificate.eu</source>
- Geben Sie als nächstes Ihre Abteilung innerhalb der Organisation ein, z.B. IT, und drücken Enter. <source lang=xml enclose="div">Wie lautet der Name Ihrer organisatorischen Einheit?
[Unknown]: IT</source>
- Geben Sie als nächstes den Namen Ihrer Organisation ein, z.B. icertificate GmbH, und drücken Enter. <source lang=xml enclose="div">Wie lautet der Name Ihrer Organisation?
[Unknown]: icertificate GmbH</source>
- Geben Sie nun den Namen Ihrer Stadt ein, z.B. Bonn, und drücken Enter. <source lang=xml enclose="div">Wie lautet der Name Ihrer Stadt oder Gemeinde?
[Unknown]: Bonn</source>
- Geben Sie dann Ihr Bundesland in voller Schreibweise an: <source lang=xml enclose="div">Wie lautet der Name Ihres Bundeslandes oder Ihrer Provinz?
[Unknown]: Nordrhein-Westfalen</source>
- Geben Sie als nächstes Ihren zweistelligen Ländercode ein, z.B. DE für Deutschland, und drücken Enter. <source lang=xml enclose="div">Wie lautet der Landescode (zwei Buchstaben) für diese Einheit?
[Unknown]: DE</source>
- Sie bekommen nun noch einmal die Eingaben angezeigt und bestätigen mit
ja
bzw.j
. <source lang=xml enclose="div">Ist CN=icertificate.eu, OU=IT, O=icertificate GmbH, L=Bonn, ST=Nordrhein-Westfalen, C=DE richtig?
j</source>
- Sie werden jetzt nocheinmal zur Eingabe eines Passwortes gebeten. Drücken Sie einfach Enter/Eingabetaste, wenn dasselbe Passwort wie für den Keystore verwendet werden soll. <source lang=xml enclose="div">Geben Sie das Passwort für <mykey> ein.
(EINGABETASTE, wenn Passwort dasselbe wie für Keystore):
</source>
- Geben Sie nun folgenden Befehl zur Erstellung der CSR-Datei ein mit den angepassten Dateinamen für die Beispiele server.csr und private.key: <source lang=xml enclose="div">keytool -certreq -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -file server.csr -keystore private.jks</source>
- Zum Abschluß müssen Sie Ihr oben vergebenes Passwort für den Keystore angeben und mit Enter bestätigen (das Passwort wird nicht angezeigt bei der Eingabe): <source lang=xml enclose="div">Enter keystore password:
IhrKeystorePasswort</source>
- Ihr CSR ist nun erstellt und wurde hier im Beispiel in der Datei server.csr im selben Verzeichnis gespeichert. Diese Text-Datei müssen Sie bei ihrer Zertifizierungsstelle (CA) hochladen.
Überprüfung CSR
Prüfung Textdatei
- Sie können sich Ihren erstellten CSR als Textdatei anzeigen lassen. Geben Sie dazu folgenden Befehl ein, wobei der Dateiname mit der Endung .csr mit dem oben angegebenen Dateinamen übereinstimmen muss: <source lang=xml enclose="div">nano server.csr</source>
- Das Ergebnis sollte als Beispiel wie folgt aussehen: <source lang=xml enclose="div">-----BEGIN CERTIFICATE REQUEST-----
MIIC6zCCAdMCAQAwgaUxCzAJBgNVBAYTAkRFMRwwGgYDVQQIExNOb3JkcmhlaW4t V2VzdGZhbGVuMQ0wCwYDVQQHEwRCb25uMRowGAYDVQQKExFpY2VydGlmaWNhdGUg R21iSDELMAkGA1UECxMCSVQxGDAWBgNVBAMTD2ljZXJ0aWZpY2F0ZS5ldTEmMCQG CSqGSIb3DQEJARYXc3VwcG9ydEBpY2VydGlmaWNhdGUuZXUwggEiMA0GCSqGSIb3 DQEBAQUAA4IBDwAwggEKAoIBAQDH4WYxgMYvxar4yZfUseT0j+QGSn896etUR7AQ +J2F58y24tX5+KCPQa/GaNQfvYL6/xgJvPby0PeRrQDMY62h/S4wCZhAXd58BXxh EseDm2530GCe6vr4ffZfo9O1ErPGrjUnoFQ2V/BknhtWi1I566kgdDFBQU5TEieF Bd946P6IjIaQ8IPmq8S8zHgKz3qjGY7V9UXn1ON0gqHilJ7S7sFAkNgcOS/y/ddD KlrygmOxATvFK5q95AXk8GHlPDo7F3Xz7mHyt0FDRg7QBZcDOK4SbzQYra1k8OLe 0yF+NVSZs87G6PWv48qTLu0u9bhdApvZ8NRXZSIrVJPe95Q1AgMBAAGgADANBgkq hkiG9w0BAQUFAAOCAQEAqnNwUAsTNCNjdpQUP/KC2Sn3QVoh2aYtCHhDvj+1AmGN L/H2/tk+7BPhu7eNBvu4MK9N+UlC0aMeuK7S6HPb/blTs5EnXjLoMjRtN+KLzVcO n4FrHeC7yyYaBGO24UTfhhKnybVv9KZTYwn5sqAhutd8oxQi96aNjc+7LjXhV2eY hS0sHuxhIg4jdM2/sdWF+Y6gsayp5uePWSxROFH5Q48tvGewR4b+Jgzg3W+lGY0r ibIKrihoR1qKYVlg7sKf+EZ7L4u3+sIBOnYZdPCyaWHTKqtv8IGqcPc4LtmjEu5X TJnUNAQXzCYlRp1YgXe5j8Wqx9WhV0//IRuVfrd6ew==
END CERTIFICATE REQUEST-----</source>
Prüfung mit Online-Tool
Komfortabel ist auch die Prüfung des erstellten CSR mit einem Online-Tool wie bei Symantec.
- Rufen Sie die Internetseite Symantec CSR Check in Ihren Internet-Browser auf.
- Fügen Sie dort am besten mit Copy&Paste Ihren CSR ein (beginnend mit
-----BEGIN CERTIFCATE REQUEST-----
und endend mit-----END CERTIFICATE REQUEST-----
) und klicken auf "Check". - Überprüfen Sie dort, ob alle Angaben korrekt ausgelesen werden können.